Управление безопасностью: ведение журнала и обнаружение угроз

Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения угроз в облаке и включения, сбора и хранения журналов аудита для облачных служб, включая включение процессов обнаружения, исследования и исправления с помощью средств управления для создания высококачественных оповещений с помощью обнаружения угроз в облачных службах; он также включает сбор журналов с помощью облачной службы мониторинга, централизованного анализа безопасности с помощью SIEM, синхронизации времени и хранения журналов.

LT-1. Включение возможностей обнаружения угроз

Принцип безопасности. Для поддержки сценариев обнаружения угроз отслеживайте все известные типы ресурсов для известных и ожидаемых угроз и аномалий. Настройте правила для фильтрации и анализа оповещений, чтобы извлекать высококачественные оповещения из журналов, от агентов или из других источников данных и уменьшить количество ложных срабатываний.

Руководство по Azure. Используйте возможность обнаружения угроз в Microsoft Defender для облака для соответствующих служб Azure.

Сведения об обнаружении угроз, не включенных в службы Microsoft Defender, см. в базовых планах службы Microsoft Cloud Security Benchmark для соответствующих служб, чтобы включить возможности обнаружения угроз или оповещений системы безопасности в службе. При получении оповещений и данных журналов из Microsoft Defender для облака, Microsoft 365 Defender, а также данных журналов из других ресурсов для использования в экземплярах Azure Monitor или Microsoft Sentinel, создавайте правила аналитики, которые обнаруживают угрозы и создают оповещения, соответствующие определенным критериям в вашей среде.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами управления (ICS) или надзорным контролем и получением данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Для служб, которые не имеют собственной возможности обнаружения угроз, рассмотрите возможность сбора журналов плоскости данных и анализа угроз с помощью Microsoft Sentinel.

Реализация Azure и дополнительный контекст:

• Общие сведения о Microft Defender для облака
• Справочник по оповещениям безопасности Microsoft Defender для облака
• Создание настраиваемых правил аналитики для обнаружения угроз
• Индикаторы угроз для аналитики киберугроз в Microsoft Sentinel

Руководство по AWS. Используйте Amazon GuardDuty для обнаружения угроз, который анализирует и обрабатывает следующие источники данных: журналы потоков VPC, журналы событий управления AWS CloudTrail, журналы событий cloudTrail S3, журналы аудита EKS и журналы DNS. GuardDuty может сообщать о проблемах безопасности, таких как повышение привилегий, использование учетных данных или обмен данными с вредоносными IP-адресами или доменами.

Настройте AWS Config для проверки правил в SecurityHub для мониторинга соответствия требованиям, таких как смещение конфигурации и создание выводов при необходимости.

Для обнаружения угроз, не включенных в GuardDuty и SecurityHub, включите возможности обнаружения угроз или оповещений системы безопасности в поддерживаемых службах AWS. Извлеките оповещения в CloudTrail, CloudWatch или Microsoft Sentinel для создания правил аналитики, которые охотятся на угрозы, соответствующие определенным критериям в вашей среде.

Вы также можете использовать Microsoft Defender для облака для мониторинга определенных служб в AWS, таких как экземпляры EC2.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами управления (ICS) или надзорным контролем и получением данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Реализация AWS и дополнительный контекст:

• Amazon GuardDuty
• Источники данных Amazon GuardDuty
• Подключение учетных записей AWS к Microsoft Defender для облака
• Как Defender для облачных приложений помогает защитить среду Amazon Web Services (AWS)
• Рекомендации по безопасности для ресурсов AWS — справочное руководство

Руководство по GCP: Используйте обнаружение угроз в Центре безопасности Google Cloud Security Command Center для обнаружения угроз с использованием данных журнала, таких как действия администратора, доступ к данным GKE, потоки VPC, DNS в облаке и журналы брандмауэра.

Кроме того, используйте комплекс решений для обеспечения безопасности для современного центра безопасности (SOC) с решениями Chronicle SIEM и SOAR. Chronicle SIEM и SOAR предоставляет возможности обнаружения угроз, проведения расследований и поиска угроз.

Вы также можете использовать Microsoft Defender для облака для мониторинга определенных служб в GCP, таких как экземпляры вычислительных виртуальных машин.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами управления (ICS) или надзорным контролем и получением данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Реализация GCP и дополнительный контекст:

• Общие сведения об обнаружении угроз событий в Центре управления безопасностью
• Хроника SOAR
• Как Defender для облачных приложений помогает защитить среду Google Cloud Platform (GCP)
• Рекомендации по безопасности для ресурсов GCP — справочное руководство

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечной точки
• Операции безопасности
• Управление осанкой
• Безопасность приложений и DevOps
• Аналитика угроз

LT-2. Включение возможностей обнаружения угроз для управления удостоверениями и доступом

Принцип безопасности. Обнаружение угроз для удостоверений и управления доступом путем мониторинга аномалий входа пользователя и приложения. Шаблоны поведения, такие как чрезмерное количество неудачных попыток входа и устаревшие учетные записи в подписке, должны вызывать предупреждение.

Руководство по Azure. Azure AD предоставляет следующие журналы, которые можно просматривать в Azure AD отчетах или интегрировать с Azure Monitor, Microsoft Sentinel или другими инструментами SIEM/мониторинга для более сложных вариантов использования мониторинга и аналитики.

• Входы. Отчет о входе предоставляет сведения об использовании управляемых приложений и действий входа пользователей.
• Журналы аудита: обеспечивает трассировку с помощью журналов для всех изменений, выполненных различными функциями в Azure AD. Примеры журналов аудита включают изменения, внесенные в любые ресурсы в Azure AD, такие как добавление или удаление пользователей, приложений, групп, ролей и политик.
• Рискованные входы: рискованный вход — это индикатор попытки входа, который, возможно, был выполнен кем-то, кто не является законным владельцем учетной записи пользователя.
• Пользователи, помеченные как риск: рискованный пользователь является индикатором для учетной записи пользователя, которая могла быть скомпрометирована.

Azure AD также предоставляет модуль защиты идентификации для обнаружения и устранения рисков, связанных с учетными записями пользователей и поведением входа. Примеры рисков включают утечку учетных данных, вход из анонимных или вредоносных связанных IP-адресов, распыление паролей. Политики в Службе защиты идентификации Azure AD позволяют применять проверку подлинности MFA на основе рисков в сочетании с условным доступом Azure в учетных записях пользователей.

Кроме того, Microsoft Defender для облака можно настроить для оповещения о устаревших учетных записях в подписке и подозрительных действиях, таких как чрезмерное количество неудачных попыток проверки подлинности. Помимо базового мониторинга гигиены безопасности модуль Microsoft Defender для защиты от угроз облака также может собирать более подробные оповещения о безопасности из отдельных вычислительных ресурсов Azure (таких как виртуальные машины, контейнеры, служба приложений), ресурсы данных (например, база данных SQL и хранилище) и уровни служб Azure. Эта возможность позволяет просматривать аномалии учетных записей в отдельных ресурсах.

Примечание. Если вы подключаетесь к локальной службе Active Directory для синхронизации, используйте решение Microsoft Defender for Identity, чтобы воспользоваться локальными сигналами Active Directory для выявления, обнаружения и изучения расширенных угроз, скомпрометированных удостоверений и вредоносных действий инсайдеров, направленных на вашу организацию.

Реализация Azure и дополнительный контекст:

• Отчеты об аудите действий в Azure AD
• Включение защиты идентификации Azure
• Защита от угроз в Microsoft Defender для облака
• Обзор Microsoft Defender для идентификации

Руководство AWS: AWS IAM предоставляет следующие журналы и отчеты о действиях пользователей консоли через IAM Access Advisor и отчет об учетных данных IAM.

• Все успешные попытки входа и неудачные попытки входа.
• Состояние многофакторной проверки подлинности (MFA) для каждого пользователя.
• Неактивный пользователь IAM

Для мониторинга доступа на уровне API и обнаружения угроз используйте Amazon GuadDuty, чтобы определить результаты, связанные с IAM. Ниже приведены примеры этих выводов:

• API, используемый для получения доступа к среде AWS и был вызван аномальным способом или использовался для уклонения от оборонительных мер.
• API, используемый для:
  • обнаружение ресурсов было вызвано аномальным способом
  • Сбор данных из среды AWS осуществлялся аномальным способом.
  • Изменение данных или процессов в среде AWS было вызвано аномальным способом.
  • неавторизованный доступ к среде AWS был вызван аномальным способом.
  • неавторизованный доступ к среде AWS был вызван аномальным способом.
  • получение высокоуровневых разрешений для среды AWS было вызвано аномальным способом.
  • вызывается из известного вредоносного IP-адреса.
  • вызывается с помощью корневых учетных данных.
• Ведение журнала AWS CloudTrail отключено.
• Политика паролей учетной записи была ослаблена.
• Было зафиксировано несколько успешных входов в систему консоли во всем мире.
• Учетные данные, созданные исключительно для экземпляра EC2 с помощью роли запуска экземпляра, используются из другой учетной записи в AWS.
• Учетные данные, созданные исключительно для экземпляра EC2 с помощью роли запуска экземпляра, используются из внешнего IP-адреса.
• API был вызван из известного вредоносного IP-адреса.
• API был вызван из IP-адреса, находящегося в настраиваемом списке угроз.
• API был вызван с IP-адреса выходного узла Tor.

Реализация AWS и дополнительный контекст:

• Отчеты учетных данных IAM
• Источник данных GuardDuty
• Типы обнаружений IAM GuardDuty

Руководство по GCP: Используйте Обнаружение угроз в событиях в Центре команд безопасности Google Cloud для обнаружения определенного типа угроз, связанных с IAM, например, для выявления событий, в которых учетная запись сервиса, управляющаяся пользователем, получила одну или несколько конфиденциальных ролей IAM.

Помните, что журналы Google Identity и журналы Google Cloud IAM создают журналы действий администратора, но для разных областей. Журналы Google Identity предназначены только для операций, связанных с платформой аутентификации, тогда как журналы IAM предназначены для операций, связанных с IAM для Google Cloud. Журналы IAM содержат записи журнала вызовов API или других действий, которые изменяют конфигурацию или метаданные ресурсов. Например, эти журналы записываются при создании экземпляров виртуальной машины или изменении разрешений управления удостоверениями и доступом.

Используйте отчеты Cloud Identity и IAM для оповещений о определенных подозрительных шаблонах действий. Вы также можете использовать аналитику политик для анализа активности учетных записей служб, чтобы выявить такие действия, как неиспользование учетных записей служб в вашем проекте за последние 90 дней.

Реализация GCP и дополнительный контекст:

• Ведение журнала аудита Google Cloud IAM
• Ведение аудита платформы управления идентификацией

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечной точки
• Операции безопасности
• Управление осанкой
• Безопасность приложений и DevOps
• Аналитика угроз

LT-3. Включение ведения журнала для исследования безопасности

Принцип безопасности. Включение ведения журнала облачных ресурсов в соответствии с требованиями для расследований инцидентов безопасности и реагирования на них и соответствия требованиям.

Руководство по Azure. Включение возможностей ведения журнала для ресурсов на разных уровнях, таких как журналы для ресурсов Azure, операционных систем и приложений в виртуальных машинах и других типах журналов.

Помните о различных типах журналов для безопасности, аудита и других операций на уровне управления/контроля и уровне данных. На платформе Azure доступны три типа журналов:

• Журнал ресурсов Azure: ведение журнала операций, выполняемых в ресурсе Azure (плоскости данных). Например, получение секрета из хранилища ключей или запрос к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
• Журнал действий Azure: ведение журналов операций на каждом ресурсе Azure на уровне подписки снаружи (плоскость управления). Журнал действий можно использовать для определения того, что, кто и когда совершил для любых операций записи (PUT, POST, DELETE) над ресурсами в рамках вашей подписки. Для каждой подписки Azure существует один журнал действий.
• Журналы Azure Active Directory: журналы журнала действий входа и аудита изменений, внесенных в Azure Active Directory для определенного клиента.

Вы также можете использовать Microsoft Defender для облака и Azure Policy для активации журналов ресурсов и сбора данных в ресурсах Azure.

Реализация Azure и дополнительный контекст:

• Общие сведения о ведении журнала и различных типах журналов в Azure
• Общие сведения о сборе данных в Microsoft Defender для облака
• Включение и настройка мониторинга антивредоносных программ
• Операционные системы и журналы приложений в вычислительных ресурсах

Руководство по AWS. Использование журнала AWS CloudTrail для событий управления (операций плоскости управления) и событий данных (операций плоскости данных) и отслеживания этих следов с помощью CloudWatch для автоматизированных действий.

Служба журналов Amazon CloudWatch позволяет собирать и хранить журналы из ресурсов, приложений и служб практически в реальном времени. Существует три основных категории журналов:

• Переданные журналы: журналы, автоматически опубликованные службами AWS от вашего имени. В настоящее время Журналы потоков Amazon VPC и Журналы Amazon Route 53 являются двумя поддерживаемыми типами. Эти два журнала включены по умолчанию.
• Журналы, опубликованные службами AWS: журналы из более чем 30 служб AWS публикуются в CloudWatch. К ним относятся Шлюз API Amazon, AWS Lambda, AWS CloudTrail и многие другие. Эти журналы можно включить непосредственно в службах и CloudWatch.
• Настраиваемые журналы: журналы из собственного приложения и внутренних ресурсов. Возможно, вам потребуется собрать эти журналы, установив агент CloudWatch в ваших операционных системах и перенаправив их в CloudWatch.

Хотя многие службы публикуют журналы только в журналах CloudWatch, некоторые службы AWS могут публиковать журналы непосредственно в AmazonS3 или Amazon Kinesis Data Firehose, где можно использовать различные политики хранения и хранения журналов.

Реализация AWS и дополнительный контекст:

• Включение логирования для определенных служб AWS
• Мониторинг и ведение журнала
• Функции Cloudwatch

Руководство по GCP. Включение возможностей ведения журнала для ресурсов на разных уровнях, таких как журналы для ресурсов Azure, операционных систем и приложений в виртуальных машинах и других типах журналов.

Помните о различных типах журналов для безопасности, аудита и других операций на уровне управления/контроля и уровне данных. Служба ведения журнала в облаке Operations Suite собирает и агрегирует все события журнала из уровней ресурсов. В облачном журнале поддерживаются четыре категории журналов:

• Журналы платформ — журналы, написанные вашими облачными службами Google.
• Журналы компонентов , аналогичные журналам платформ, но они являются журналами, созданными с помощью программных компонентов Google, работающих в системах.
• Журналы безопасности — в основном журналы аудита, которые записывают административные действия и доступы к вашим ресурсам.
• Пользовательские журналы — журналы, написанные специально разработанными приложениями и службами
• Журналы мультиоблачные и журналы гибридного облака — журналы от других поставщиков облачных услуг, таких как Microsoft Azure, и журналы из локальной инфраструктуры.

Реализация GCP и дополнительный контекст:

• Обзор журналов аудита облака
• Облачные службы Google с журналами аудита

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Безопасность инфраструктуры и конечной точки
• Операции безопасности
• Управление осанкой
• Безопасность приложений и DevOps
• Аналитика угроз

LT-4. Включение ведения сетевого журнала для исследования безопасности

Принцип безопасности. Включение ведения журнала для сетевых служб для поддержки расследований инцидентов, связанных с сетью, охоты на угрозы и создания оповещений системы безопасности. Сетевые журналы могут включать в себя журналы сетевых служб, таких как фильтрация IP-адресов, брандмауэр сети и приложений, DNS, мониторинг потоков и т. д.

Руководство по Azure. Включение и сбор журналов ресурсов группы безопасности сети (NSG), журналов потоков NSG, журналов брандмауэра Azure и журналов брандмауэра веб-приложений (WAF) и журналов с виртуальных машин с помощью агента сбора данных сетевого трафика для анализа безопасности для поддержки расследований инцидентов и создания оповещений системы безопасности. Журналы потоков можно отправлять в рабочую область Azure Monitor Log Analytics, а затем использовать аналитику трафика для предоставления аналитических сведений.

Сбор журналов запросов DNS для сопоставления других сетевых данных.

Реализация Azure и дополнительный контекст:

• Как включить журналы потоков групп безопасности сети
• Журналы и метрики брандмауэра Azure
• Решения для мониторинга сети Azure в Azure Monitor
• Сбор аналитических сведений о инфраструктуре DNS с помощью решения аналитики DNS

Руководство по AWS. Включение и сбор сетевых журналов, таких как журналы потоков VPC, журналы WAF и журналы запросов сопоставителя Route53 для анализа безопасности для поддержки расследований инцидентов и создания оповещений системы безопасности. Журналы можно экспортировать в CloudWatch для мониторинга или в хранилище S3 для импорта в Microsoft Sentinel для централизованной аналитики.

Реализация AWS и дополнительный контекст:

• Включение логирования для определенных служб AWS

Руководство по GCP. Большинство журналов сетевых действий доступны через журналы потоков VPC, которые записывают образец сетевых потоков, отправляемых и полученных ресурсами, включая экземпляры, используемые в качестве виртуальных машин Google Compute, узлов ядра Kubernetes. Эти журналы можно использовать для мониторинга сети, судебной экспертизы, анализа безопасности в режиме реального времени и оптимизации расходов.

Вы можете просматривать журналы потоков в журнале облака и экспортировать журналы в место назначения, которое поддерживает экспорт журнала в облаке. Журналы потоков агрегируются по подключениям от виртуальных машин Compute Engine и экспортируются в режиме реального времени. Подписавшись на Pub/Sub, вы можете анализировать журналы потоков с помощью API потоковой передачи в режиме реального времени.

Примечание: вы также можете использовать зеркальное отображение пакетов, которое клонирует трафик указанных экземпляров в вашей сети виртуального частного облака (VPC) и перенаправляет его для проверки. Зеркальное отображение пакетов захватывает все данные о трафике и пакетах, включая полезные данные и заголовки.

Реализация GCP и дополнительный контекст:

• Использование журналов потоков VPC
• Сведения о ведении журнала аудита VPC
• Отражение пакетов

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Операции безопасности
• Безопасность инфраструктуры и конечной точки
• Безопасность приложений и DevOps
• Аналитика угроз

LT-5: централизованные управление журналом безопасности и анализ

Принцип безопасности: централизация хранилища журналов и анализа для обеспечения корреляции между данными журнала. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Используйте cloud native SIEM, если у вас нет существующего решения SIEM для поставщиков поставщиков поддержки. или агрегирование журналов и оповещений в существующий SIEM.

Руководство по Azure. Убедитесь, что вы интегрируете журналы действий Azure в централизованную рабочую область Log Analytics. Используйте Azure Monitor для запроса и выполнения анализа и создания правил генерации оповещений на основе журналов, собранных из служб Azure, с конечных устройств, из сетевых ресурсов и других систем безопасности.

Кроме того, подключите и интегрируйте данные в Microsoft Sentinel, которая предоставляет возможности управления событиями безопасности (SIEM) и автоматизированного реагирования на угрозы безопасности (SOAR).

Реализация Azure и дополнительный контекст:

• Сбор журналов и метрик платформы с помощью Azure Monitor
• Как начать работу с Azure Sentinel

Руководство по AWS. Убедитесь, что вы интегрируете журналы AWS в централизованный ресурс для хранения и анализа. Используйте CloudWatch для запроса и выполнения аналитики, а также для создания правил оповещений с помощью журналов, объединенных из служб AWS, конечных устройств, сетевых ресурсов и других систем безопасности.

Кроме того, вы можете агрегировать журналы в контейнере хранилища S3 и подключить данные журнала к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и средства автоматического реагирования системы безопасности (SOAR).

Реализация AWS и дополнительный контекст:

• Подключение Microsoft Sentinel к Amazon Web Services для приема данных журнала службы AWS

Руководство по GCP. Убедитесь, что вы интегрируете журналы GCP в централизованный ресурс (например, контейнер журналов Operations Suite Cloud) для хранения и анализа. Cloud Logging обеспечивает поддержку ведения журналов собственных сервисов Google Cloud, а также сторонних и локальных приложений. Вы можете использовать ведение журнала облака для запроса и выполнения аналитики, а также создавать правила генерации оповещений с помощью журналов, агрегированных из служб GCP, служб, конечных точек устройств, сетевых ресурсов и других систем безопасности.

Используйте облачный нативный SIEM, если у вас нет существующего решения SIEM для CSP, или агрегируйте журналы и оповещения в вашем существующем SIEM.

Примечание. Google предоставляет два интерфейса для запросов журналов: Logs Explorer и Log Analytics, которые используются для формирования запросов, просмотра и анализа журналов. Для устранения неполадок и изучения данных журнала рекомендуется использовать обозреватель журналов. Чтобы создать аналитические сведения и тенденции, рекомендуется использовать Log Analytics.

Реализация GCP и дополнительный контекст:

• Агрегируйте и храните журналы организации
• Обзор журналов запросов и просмотра
• Хроника SIEM

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Безопасность приложений и DevOps
• Безопасность инфраструктуры и конечной точки

LT-6: Настройка хранения журналов

Принцип безопасности. Планирование стратегии хранения журналов в соответствии с вашими требованиями к соответствию, нормативным требованиям и бизнес-требованиям. Настройте политику хранения журналов для отдельных служб ведения журналов, чтобы обеспечить надлежащее архивирование журналов.

Руководство по Azure. Такие журналы, как журналы действий Azure, сохраняются в течение 90 дней, а затем удаляются. Необходимо создать параметр диагностики и перенаправить журналы в другое расположение (например, рабочую область Azure Monitor Log Analytics, Центры событий или службу хранилища Azure) на основе ваших потребностей. Эта стратегия также применяется к другим журналам ресурсов и ресурсам, управляемым самостоятельно, например журналам в операционных системах и приложениях на виртуальных машинах.

У вас есть параметр хранения журналов, как показано ниже:

• Используйте рабочую область Azure Monitor Log Analytics для периода хранения журналов до 1 года или в соответствии с требованиями группы реагирования.
• Используйте службу хранилища Azure, Data Explorer или Data Lake для долгосрочного и архивного хранилища в течение более 1 года и для соответствия требованиям к обеспечению безопасности.
• Используйте Центры событий Azure для пересылки журналов во внешний ресурс за пределами Azure.

Примечание. Microsoft Sentinel использует рабочую область Log Analytics в качестве серверной части для хранения журналов. Если вы планируете хранить журналы SIEM в течение длительного времени, следует рассмотреть стратегию долгосрочного хранения.

Реализация Azure и дополнительный контекст:

• Изменение периода хранения данных в Log Analytics
• Настройка политики хранения для журналов учетной записи хранения Azure
• Экспорт оповещений и рекомендаций Microsoft Defender для облака

Руководство ПО AWS. По умолчанию журналы хранятся на неопределенный срок и никогда не истекают в CloudWatch. Вы можете настроить политику хранения для каждой группы журналов, сохранить неограниченное хранение или выбрать срок хранения в диапазоне от 10 лет до одного дня.

Используйте Amazon S3 для архивации журналов из CloudWatch и примените к контейнеру политику управления жизненным циклом объектов и архивации. Службу хранилища Azure можно использовать для централизованного архивирования журналов, передав файлы из Amazon S3 в службу хранилища Azure.

Реализация AWS и дополнительный контекст:

• Изменение хранения журналов CloudWatch
• Копирование данных из Amazon S3 в службу хранилища Azure с помощью AzCopy

Руководство по GCP. По умолчанию Operations Suite Cloud Log сохраняет журналы в течение 30 дней, если вы не настраиваете пользовательское хранение для контейнера ведения журнала в облаке. Журналы аудита действий администратора, журналы аудита событий системы и журналы прозрачности доступа хранятся по умолчанию в течение 400 дней. Вы можете настроить облачное ведение журнала для хранения журналов в диапазоне от 1 дня до 3650 дней.

Используйте облачное хранилище для архивации журналов из облачного ведения журнала и примените к контейнеру политику управления жизненным циклом объектов и архивации. Службу хранилища Azure можно использовать для централизованного архивирования журналов, передав файлы из Google Cloud Storage в службу хранилища Azure.

Реализация GCP и дополнительный контекст:

• Ведение журнала пользовательского хранения
• Политики хранения хранилища
• Обзор маршрутизации журналов и хранилища

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Архитектура безопасности
• Безопасность приложений и DevOps
• Операции безопасности
• Управление соответствием безопасности

LT-7. Использование утвержденных источников синхронизации времени

Принцип безопасности. Используйте утвержденные источники синхронизации времени для метки времени ведения журнала, включающую сведения о дате, времени и часовом поясе.

Руководство по Azure. Корпорация Майкрософт поддерживает источники времени для большинства служб PaaS и SaaS Azure. Для операционных систем вычислительных ресурсов используйте сервер NTP по умолчанию Майкрософт для синхронизации времени, если у вас нет определенного требования. Если вам нужно создать собственный сервер NTP, убедитесь, что порт службы UDP 123 защищён.

Все журналы, созданные ресурсами в Azure, предоставляют метки времени с часовыми поясами, указанными по умолчанию.

Реализация Azure и дополнительный контекст:

• Настройка синхронизации времени для вычислительных ресурсов Windows Azure
• Настройка синхронизации времени для вычислительных ресурсов Azure Linux
• Как отключить входящий UDP для служб Azure

Руководство по AWS: AWS поддерживает источники времени для большинства служб AWS. Для ресурсов или служб, в которых настроен параметр времени операционной системы, используйте aws по умолчанию Amazon Time Sync Service для синхронизации времени, если у вас нет определенного требования. Если вам нужно создать собственный сервер NTP, убедитесь, что порт службы UDP 123 защищён.

Все журналы, созданные ресурсами в AWS, предоставляют метки времени с часовыми поясами, указанными по умолчанию.

Реализация AWS и дополнительный контекст:

• Установка времени для экземпляра Linux
• Установка времени для экземпляра Windows

Руководство по GCP: Google Cloud поддерживает источники времени для большинства служб Google Cloud PaaS и SaaS. Для операционных систем вычислительных ресурсов используйте сервер NTP по умолчанию Google Cloud для синхронизации времени, если у вас нет конкретного требования. Если вам нужно настроить собственный сервер протокола времени (NTP), убедитесь, что порт службы UDP 123 защищён.

Примечание. Рекомендуется не использовать внешние источники NTP с виртуальными машинами вычислительной подсистемы, но использовать внутренний сервер NTP, предоставляемый Google.

Реализация GCP и дополнительный контекст:

• Настройка NTP на виртуальной машине
• Google Cloud Public NTP

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

• Политика и стандарты
• Безопасность приложений и DevOps
• Безопасность инфраструктуры и конечной точки